Os dados de dezenas de milhares de torcedores ficaram expostos no servidor desprotegido do Futebol Card, plataforma online de vendas de ingressos para sócio-torcedores do Botafogo, do Sport e, principalmente, do Palmeiras.

Em função do vazamento, foi possível ter acesso a mais de 1.640 planilhas em formato CSV com 44 mil membros ativos e outros 9,7 mil bloqueados – todos do Palmeiras. Em quase 25 GB de arquivos constavam nome completo, data de nascimento, CPF, gênero, estado civil, telefone, email, endereço com CEP, data e plano de associação, recorrência do pagamento e até mesmo tamanho da camiseta de cada torcedor.

Além disso, o vazamento expôs materiais oficiais do Palmeiras, como banners de e-mails (cabeçalho e rodapé), imagens promocionais, logos em alta resolução, entre outros.

Reprodução

Ainda que os dados dos cartões de crédito utilizados para pagamentos não tenham sido revelados, todas as informações contidas no vazamento são o suficiente para que cibercriminosos apliquem golpes de phishing em sócios. 

Segundo as investigações, as informações foram hospedadas inadequadamente em um ambiente vulnerável na nuvem. O servidor escolhido pelo Futebol Card foi o Amazon Simple Storage Service (S3), solução de armazenamento em nuvem da Amazon Web Services (AWS), mas os desenvolvedores esqueceram de especificar a privacidade da rede e os dados se tornaram públicos na nuvem. 

 

Via: ZDNet